关于中华黑豹病毒分析
本帖最后由 willJ 于 2012-2-4 01:09 编辑[文件标题]:关于中华黑豹病毒分析[文章作者]:willJ[作者邮箱]:466684954@qq.com[软件名称]: 中华黑豹增强版.exe[下载地址]:附件[运行环境]:Windows xp sp3[使用工具]:OD,PEID,winrar,解密脚本[作者声明]: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
[详细过程]:最近在逛卡饭的时候,发现有人发了一个中华黑豹增强版的病毒,以前貌似听说了这个病毒很厉害,于是下载下来看看,呵呵,发现这个病毒有点像恶搞程序,我也来记录下我分析的过程吧。习惯,首先我在PEID中查壳:我本以为是yoda的壳,于是用了很多脱壳方法去脱,都没有脱下来,这里停了比较久的时间,后来我无意间载入了资源查看软件中,发现了些东西:看见了吧,是个自解压,于是我自己压缩了一个自解压去比对,果然入口是一样的,以前自己也这么操作过,很快知道作者是怎么做的了,大家很奇怪为什么是自解压右键没有解压选项对吧?这个是因为作者对这个自解压做了操作,现在我们逆向把这个自解压修复了吧。首先将病毒丢入C32中(当然可以用别的16进制编辑器),然后搜索PADDINGXX,然后往下看见一个Ra.!,如图:这个就是作者破坏了导致无法右键解压的地方,我们查看正常的自解压这里是如下图这样的:将此处改为52 61 72 21保存,然后将软件载入OD中,搜索常量52,同样将AA改为72,如图: 保存后就可以自解压了,我们看看解压出来的文件:1.bmp 2.bmp 3.bmp 4.bmp 5.bmp就是图片,病毒运行后就会频繁的更换桌面,1.mp3就是在播放”注意了,注意了,注意请立刻注意,我非常抱歉,你已遭到恶意劫持,目前我以无能为力,你的电脑已中了恶意病毒……”,就是说一下吓人的话。Windows xp 关机.wav就是播放“计算机正在关机……”。windows xp 启动.wav就是播放“你竟然顺利开机,我感到惊讶”。中华黑豹.mp3就是播放豹子的吼叫声音。提示1.exe是动态显示一副图片:提示2.exe就是出现下图: 2.exe和3.exe就是调用播放器播放那些音频文件 再看看1.reg
Windows Registry Editor Version 5.00
"DisableTaskmgr"=dword:1
很明显就是禁用任务管理器 死机.exe就是让电脑死机啦。我认为程序是用几个vbs去调用那些bat文件,bat文件加密了的,这里我用了Hmily的那个解密脚本解密的(http://www.52pojie.cn/thread-23833-1-1.html) 3.bat解密后:author:pengfei@www.cn-dos.net
ZhuYao.bat解密后:
我晕啊,后面的东西发不上了,还是放附件里吧
病毒样本解压密码:52pojie
还有个是ZhuYao.bat的解密后文件,非常详细的可以看出这个病毒的行为和目的
3.bat解密后:
author:pengfei@www.cn-dos.net
说下解决方法吧,既然任务管理器不能打开,我们就尝试打开cmd,然后利用cmd结束该结束的进程,在后面会有一个关机提示,我们在cmd中输入shutdown -a就可以取消,然后利用msconfig打开启动选择将其取消启动,然后修复注册表,然后清理桌面就搞定。呵呵,这个病毒吓吓人还是不错的,声音,图像双重刺激。:loveliness: 好像是很不错的样子,看看再说 优秀文章发帖辛苦 辛苦了。。。 看起来应该是纯粹的恶搞了.谢谢LZ 以前在虚拟机里运行过,挺刺激的。 这不属于病毒把,属于恶搞- -. 懂电脑的人轻松解决..